Kubernetes 1.24 是第一个正式使用 Sigstore 的版本,能够无缝验证签名,以防止 560 万开发者社区遭受供应链攻击
Kubernetes 和 Sigstore 社区宣布,Kubernetes 将在生产中采用 Sigstore 来签署工件和验证签名,这使得 Kubernetes 用户第一次能够验证他们正在使用的发行版正是它所声称的。
去年刚刚推出的 Sigstore 是一项面向软件开发人员的免费签名服务,它通过实现由透明日志技术支持的加密软件签名的轻松采用,提高了软件供应链的安全性。它迅速成为签名、验证和保护软件的标准,因为它能够自动进行数字签名和检查软件工件,使软件具有更安全的监管链,可以追溯到源头。
今天发布的 Kubernetes 1.24 以及所有未来的版本都将包括加密签名的 Sigstore 证书,使用户能够验证签名,并对每个已部署的 Kubernetes 二进制文件、源代码包和容器镜像的来源更有信心。
“这是保护 Kubernetes 生态系统完整性的巨大一步,表明由于供应链攻击的增加,大规模代码签名是可能的,坦率地说是必要的。”Chainguard 开源负责人 Tracy Miranda 表示:“这种采用和集成是与多个利益相关方数月合作的结果,也是对开源协作力量的证明。”
“很高兴看到 sigstore 的采用,特别是像 Kubernetes 这样的项目,它运行许多需要最大限度保护的关键工作负载,”Red Hat CTO 安全工程主管、Kubernetes 安全响应团队成员、sigstore 项目创始人 Luke Hinds 说。
“Kubernetes 是一个众所周知并被广泛采用的开源项目,它可以激励其他开源项目通过遵循 SLSA 等级,并使用 Sigstore 签名来提高他们的软件供应链安全性,”Google 软件工程师、Sigstore TSC 成员和项目创始人 Bob Callaway 说。“我们将 Sigstore 打造得简单、免费、无缝,这样它就会被广泛采用,并保护我们免受供应链攻击。Kubernetes 选择使用 Sigstore 就是对这项工作的证明。”
2021 年初,Kubernetes 发布团队开始探索 SLSA 合规性,以提高 Kubernetes 软件供应链的安全性。SLSA 是一个安全框架,包括一个标准和控制清单,以防止篡改,提高完整性,并保护你的项目,业务或企业的软件包和基础设施。Sigstore 是实现 SLSA 2 级标准的关键项目,也是实现 SLSA 3 级标准的开端,Kubernetes 社区希望在今年 8 月实现这一目标。
Sigstore 还为 Kubernetes 社区带来了各种好处,包括:
- Sigstore 的无密钥签名为开发人员提供了良好的体验,并且消除了痛苦的密钥管理需求。
- Sigstore 的公共透明日志(Rekor[1])和 API 意味着 Kubernetes 的消费者可以很容易地验证签名的工件。
- Sigstore 对标准的使用,例如对任何 OCI(Open Container Initiative)工件(包括容器、Helm Charts、配置文件和策略包)和 OIDC(OpenID Connect)的支持,意味着它可以与其他工具和服务无缝集成。
- 非常活跃的、开源的和厂商中立的 Sigstore 社区给了我们信心,相信这个项目会很快被采用并成为事实上的行业标准。
“多年来,SIG Release 一直致力于逐步增强 Kubernetes 项目版本的健壮性。这一最新的声明,以及开源社区之间的合作使之成为可能,是在行业内越来越意识到软件供应链和开源项目发布是一个我们都必须努力改进的关键领域的背景下出现的。安全是一个永无止境的旅程,但为降低攻击者破坏我们供应链完整性的能力而采取的每一步都非常重要。”VMware 开源技术中心负责人、Kubernetes 指导委员会和荣誉退休 SIG Release 负责人 Tim Pepper 说。
“我个人为整个 SIG 发布团队感到骄傲,尤其是发布工程子项目。我们设法交付了一个重要的里程碑,作为我们总体路线图和愿景[2]的一部分,为 Kubernetes 建立一个可消费、可内省且安全的供应链。为供应链安全树立榜样是我们目前最重要的工作之一。在 Kubernetes v1.24 发布周期中,我们设法完成了 50 多个 GitHub 问题,并且只为容器镜像签名的 MVP(最低价值产品,Minimum Valuable Product)拉请求,这对整个团队来说是一个巨大的成就!我谨代表 SIG 发布领导团队再次向你表示感谢,我们期待着供应链安全的美好未来,”Kubernetes SIG Release 主席兼 RedHat 高级软件工程师 Sascha Grunert 说道。
除了数百万直接或间接使用 Kubernetes 的开发人员之外,这也有利于公司中所有旨在符合最近的 NIST 安全软件开发框架(SSDF)要求的人。(参见 Sigstore + NIST SSDF[3])。
更多关于 Sigstore 的信息,请访问:https://www.sigstore.dev/
参考资料
[1]Rekor: https://github.com/sigstore/rekor
[2]路线图和愿景: https://github.com/kubernetes/sig-release/blob/master/roadmap.md
[3]Sigstore + NIST SSDF: https://blog.chainguard.dev/how-sigstore-can-help-you-and-your-team-follow-the-nist-ssdf-recommendations/
